作者: churui 2005-11-05 12:22

某日，遇到一個奇怪的程序（你也許并不關心它的名字，我們就姑且稱它為程序A）。這個程序是十分霸道的，在與我的程序（你也肯定不會關心它的名字，所以我們稱為程序B）同時執行的時候，總能從程序B（這里也就是進程B了）的數據段中讀取到一些內容。這一點讓我非常不爽，于是我決定給B加入自我保護的功能，讓A不能輕易的讀取。聽起來有點象“磁心大戰”？呵呵，總之交鋒就是這樣開始的，初衷也非常簡單，而爭奪的過程倒是幾經波折。

       在戰斗開始之前，還需要說明的是，這里的A和B都是GUI程序，而且B總是先于A執行。

       考慮一下A讀取B的數據段，我能想到的也就是三種方法：
1.讀取映象文件  
2.使用ReadProcessMemory   
3.注入進程B，然后直接讀取。

對于第一種方法，只要B加一個簡單的殼，A就無計可施。所以比較實用的還是后兩種方法。經過觀察，發現A在執行過程中給進程B注入了一個DLL，所以我判斷A可能使用的是第三種方法。

       A給B注入DLL，一般來說也就是三種方法。但是不管哪種方法，我認為最終總要調用ntdll!LdrLoadDll。于是，最原始的辦法就是在進程B中hook LdrLoadDll這個API，攔截可疑的DLL。實現的過程并不復雜，可惜沒有效果。也就是說，A在注入DLL的過程中，根本沒有被B攔截到。

       我使用IceSword，監視A的啟動過程。發現A在啟動時會在每個進程（當然，除了一些特殊的系統進程如Idle，csrss等等）中創建一個遠線程。因此，我希望能把創建遠線程攔截下來。考慮到一般創建遠線程之前總要先用kernel32!OpenProcess得到進程句柄，我就試圖在ring3使用hook api攔截所有的OpenProcess。可惜我的努力又失敗了。本來hook OpenProcess工作的挺好，但是只要A一啟動，對OpenProcess的hook馬上失效。考慮到前面hook ntdll!LdrLoadDll也沒有奏效，我認為A一定采取了某些防止hook api的手段。

       在這種情況下，我打算到ring0去解決問題。由于之前我只有win32的開發經驗，而driver幾乎沒有做過，拿著羅云彬老大翻譯的Kmd教程中文版惡補兩天，又在driverdevelop找了一些源碼和資料，終于拼湊出了一個勉強能運行的driver。功能倒也簡單，就是通過修改SSDT（System Service Dispatch Table）。使得ntdll!NtOpenProcess執行到核心態的時候，能夠被我攔截下來。

       這次還是失敗了，而且失敗的情況也和ring3如出一轍：本來ntdll!NtOpenProcess能夠被攔截下來的，一旦A啟動后，所有的攔截立刻失效。讓我啼笑皆非的是，我做了另外一個簡單的程序C，唯一的作用就是使用kernel32!OpenProcess去打開B，結果當A啟動后，連這個C也能成功的打開B了。使用IceSword一看，原來A啟動后，SSDT會被自動改回最初的內容，真讓我無語。

       在driverdevelop上向等bmyyyud，zhaock等幾位大蝦請教了好幾次，得出了以下的結論：ntdll中導出了NtOpenProcess和ZwOpenProcess，而兩者實際上是一回事。ntosknrl中也導出了NtOpenProcess和ZwOpenProces，而兩者完全不同：ntosknrl!NtOpenProcess實際上就是“正常的”SSDT入口，而ntosknrl!ZwOpenProcess，不知道它是干什么的。如果修改SSDT，其實很容易被別人發現并且破掉（把入口換回NtOpenProcess就可以了）。那么有沒有其他方法？看有的資料上說可以換int 2　e的中斷處理函數，而xp中既然用sysenter/syscall了，看來這一招也不靈。最終，bmyyyud大蝦提示我，可以改正常ntosknrl!NtOpenProcess的入口代碼。（非入口～～～～）

       修改ntosknrl!NtOpenProcess的入口代碼比修改SSDT難度要大一些。首先ntosknrl!NtOpenProcess的代碼所在頁面具有只讀屬性，在修改頁面前需要先修改CR0寄存器的第16個bit，否則一定是藍屏沒商量，對于我這樣的新手來說，這還真有點讓人無所適從。其次，為了修改入口代碼，最方便的方法是使用微軟的detours，可惜detours中引用了很多ring3的API，無法直接使用。只好拿來detours的源碼，把不必要的細枝末節都剪裁掉，把所有使用到ring3 API的部分都盡量去掉或者用ring0的API代替。只留下最關鍵的部分，試著run了一把，沒想到居然能運行。